Revoca delle chiavi di firma: funzionano ancora dopo?

Naviga le tue risposte
4

Scenario: ho più sottochiavi di firma, ognuna per ogni dispositivo portatile (cioè portatile). Nessuno di loro ha una chiave master privata (viene cancellata seguendo i suggerimenti in post di Alex Cabal . i dispositivi sono stati rubati, ho scaricato la chiave pubblica dal server (come link ), revocando la versione pubblica con la chiave master e caricando la revocata ritorno al server. La stessa procedura viene eseguita con la chiave di crittografia.

E ora le mie domande:

  1. Posso revocare la sottochiave della firma utilizzando la chiave pubblica o ho bisogno anche di una copia di una chiave privata?
  2. Devo cancellare la chiave dal mio portachiavi per avere un elenco di chiavi pulito o dovrei mantenere la chiave revocata (e perché)?
  3. Come posso informare amici / colleghi a riguardo? E-mail ognuno di essi o c'è un approccio più massiccio? Se non ricevono le informazioni, vedranno ad esempio le mie e-mail come "FIDUCIA buona firma da ..."?
posta mDfRg 02.04.2016 - 02:06
fonte

1 risposta

5
  1. Can I revoke the signing subkey using the public key or do I need a copy of a private key as well?

No, è sempre necessaria la chiave primaria privata per tutte le operazioni di gestione delle chiavi (sottochiavi, ID utente, ... sono tutti vincolati dalle firme della chiave primaria privata). Considera che è possibile farlo usando la chiave primaria pubblica, tutti sarebbero in grado di revocare la tua chiave (dato che la chiave pubblica è - beh, pubblica).

  1. Should I delete the key from my keyring to have a clean list of keys or should I keep the revoked key (and why)?

Lascialo lì. La chiave pubblica verrà risincronizzata comunque non appena si aggiorna la chiave dai server delle chiavi. E la chiave pubblica contiene anche le informazioni di revoca.

  1. How can I inform friends/colleagues about it? Do I email every one of them or is there a more massive approach? If they don't receive the information, will they see for example my emails as "TRUSTED Good signature from ..."?

"Dipende". Alcuni client recuperano automaticamente la chiave aggiornata quando ricevono la prima mail firmata con una chiave sconosciuta (secondaria), altri no.

Se stai solo facendo affidamento sulle chiavi e scambia le chiavi in anticipo, valuta di creare la nuova chiave con alcune settimane di anticipo per consentire alle persone di recuperarle. Non vorrei disturbare le persone quando si creano nuove sottochiavi (in particolare la firma delle sottochiavi) senza una vera ragione di revoca, si renderanno conto che manca la nuova chiave non appena ricevono un messaggio firmato. Poiché stai sfruttando le sottochiavi, se si fidavano della tua vecchia chiave, si fidano ancora di quella nuova (la fiducia e la validità sono assegnate alle chiavi primarie, la validità della sottochiave è derivata dalla chiave primaria).

Se sospetti o sei sicuro che la tua sottochiave privata di firma è nelle mani di un utente malintenzionato, in effetti io spedirei e posta quelli che ho firmato / firmato e / o pubblicare queste informazioni nei luoghi pertinenti (ad esempio, se tu 'sta firmando il software).

    
risposta data 02.04.2016 - 08:42
fonte

Leggi altre domande sui tag

Permette agli utenti di uscire da tutte le altre sessioni, buone o cattive? Transport Layer Encryption vs. Application Layer Encryption